Svarbu: Anksčiau šiame straipsnyje nurodytos leidimo datos pasikeitė. Atkreipkite dėmesio į naujas leidimo datas, esančias skyriuose "veiksmas" ir "šių" Windows Update "laikas".
Suvestinė
Saugos funkcijų aplinkkelio pažeidžiamumas yra kaip rakto paskirstymo centras (KDC) nustato, ar Kerberos paslaugos bilietas gali būti naudojamas delegacijai per Kerberos apribotą perdavimą (KCD). Norėdami naudoti pažeidžiamumą, pažeista tarnyba, sukonfigūruota naudoti KCD, gali suklastoti Kerberos paslaugos bilietą, kuris negalioja delegacijai, siekiant priversti KDC jį priimti. Šie "Windows" naujinimai sprendžia šį pažeidžiamumą pakeitę, kaip KDC patikrina "Kerberos" aptarnavimo bilietus, naudojamus su KCD.
Norėdami sužinoti daugiau apie šį pažeidžiamumą, žiūrėkite CVE-2020-17049.
Imtis veiksmų Norėdami apsaugoti aplinką ir išvengti pertrūkių, turite atlikti šiuos veiksmus:
|
Šių "Windows" naujinimų laikas
Šie "Windows" naujinimai bus išleisti trimis etapais:
-
Pradinis diegimo etapas, skirtas "Windows" naujinimams, išleistoms arba po gruodžio 8 d., 2020.
-
Antras diegimo etapas, pašalinantis Performticketsignature parametrą 0 ir reikalaujantis nustatyti 1 arba 2, arba po balandžio 13, 2021.
-
Vykdymo etapas, skirtas "Windows" naujinimams, išleistoms liepos 13 d. arba po 2021.
Gruodžio 8, 2020: pradinio diegimo etapas
Pradinis diegimo etapas prasideda "Windows Update", išleistame gruodžio 8 d., 2020 ir tęsia naujesnę "Windows Update", skirtą vykdymo etapui. Šie ir vėlesni "Windows" naujinimai pakeis "Kerberos". Šis gruodžio 8, 2020 naujinimas yra visų žinomų problemų, iš pradžių nustatytų lapkričio 10 d., 2020 išleidimo CVE-2020-17049, pataisymai. Šis naujinimas taip pat įtraukia palaikymą, skirtą "Windows Server" 2008 SP2 ir "Windows Server 2008 R2".
Šis leidimas:
-
Adresai CVE-2020-17049 (pagal numatytuosius diegimo režimus).
-
Palaikomi Performticketsignature registro reikšmė, leidžianti įgalinti apsaugą "Active Directory" domeno valdiklio serveriuose. Pagal numatytuosius nustatymą Ši reikšmė neegzistuoja.
Mažinimas susideda iš "Windows" naujinimų diegimo visuose įrenginiuose, kuriuose yra "Active Directory" domeno valdiklio vaidmuo ir tik skaitymo domeno valdikliai (RODCs), tada įgalinant vykdymo režimą.
Balandžio 13, 2021: antrojo diegimo etapas
Antrasis diegimo etapas pradedamas "Windows Update", išleistame balandžio 13, 2021. Šis etapas pašalina Performticketsignature parametrą 0. Įdiegus šį naujinimą, parametras performticketsignature0 turės tokį patį efektą, kaip parametro performticketsignature į 1. DCs bus diegimo režimu.
Pastabos
-
Šis etapas nebūtinas, jei Performticketsignature niekada nebuvo nustatytas į 0 jūsų aplinkoje. Šis etapas padeda užtikrinti, kad Klientai, nustatę Atliktiticketsignature į 0 , būtų perkelti į 1 nustatymą prieš vykdymo etapą.
-
Naudojant "2021" balandžio 13 d., "" naujinimus, nustačius " Performticketsignature " 1 , bus galima pratęsti aptarnavimo bilietus. Tai veiksmas iš anksto balandžio "2021" "Windows Update", kai nustatomas "" Windows " , kad būtų galima naudoti" Service "bilietus, kai" 1 ".
-
Šis naujinimas daro prielaidą, kad visi domeno valdikliai atnaujinti gruodžio 8 d., "2020" naujinimai arba vėlesni naujinimai.
-
Įdiegus šį naujinimą ir rankiniu būdu arba programiniu parametru Performticketsignature į 1 arba naujesnę, nepalaikomi "Windows Server" domenų valdikliai nebeveiks su palaikomais domeno valdikliais. Tai yra "Windows Server" 2008 ir "Windows Server 2008 R2", nenaudojant išplėstinio saugos naujinimų (ESU) ir "Windows Server 2003".
2021 liepos 13 d.: vykdymo etapas
Liepos 13 d. "2021" leidimo perėjimai į vykdymo etapą. Vykdymo etapas užtikrina "CVE-2020-17049" adreso keitimą. "Active Directory" domenų valdikliai dabar gali vykdyti vykdymo režimą. Kai bus vykdomas vykdymo režimas, visi "Active Directory" domeno valdikliai turi įdiegtą gruodžio 8, 2020 naujinimą arba naujesnę "Windows" naujinimą. Šiuo metu " Performticketsignature " registro rakto parametrai bus ignoruojami, o vykdymo režimo negalima perrašyti.
Diegimo instrukcijos
Prieš diegiant šį naujinimą
Prieš taikydami šį naujinimą, turite įdiegti šiuos būtinus naujinimus. Jei naudojate "Windows" naujinimą, prireikus šie naujinimai bus pasiūlyti automatiškai.
-
Turite turėti SHA-2 naujinį (KB4474419), išleistą rugsėjo 23 d., 2019 arba vėliau įdiegtą Sha-2 naujinimą, tada iš naujo paleiskite įrenginį prieš taikydami šį naujinimą. Daugiau informacijos apie SHA-2 naujinimus ieškokite 2019 Sha-2 kodo pasirašymas palaikymo reikalavimai, skirti "Windows" ir WSUS.
-
Jei naudojate "Windows Server" 2008 R2 SP1, turite įdiegti priežiūros rietuvės naujinimą (SSU) (KB4490628), išleistą kovo 12, 2019. Įdiegus naujinimą KB4490628 , rekomenduojame įdiegti naujausią "s" naujinimą. Daugiau informacijos apie naujausią "s" naujinimą ieškokite ADV990001 | Naujausi priežiūros rietuvės naujinimai.
-
Jei naudojate "Windows Server" 2008 SP2, turite įdiegti priežiūros rietuvės naujinimą (SSU) (KB4493730), išleistą balandžio 9, 2019. Įdiegus naujinimą KB4493730 , rekomenduojame įdiegti naujausią "s" naujinimą. Daugiau informacijos apie naujausius "s" naujinimus rasite ADV990001 | Naujausi priežiūros rietuvės naujinimai.
-
Klientai privalo įsigyti išplėstinį saugos naujinimą (EDV) vietinėms "Windows server" 2008 SP2 arba "windows Server 2008 R2 SP1" versijoms, kai Išplėstinis palaikymas baigėsi sausio 14 d., 2020. Klientai, įsigiję EDV, privalo laikytis " KB4522133 " procedūrų, kad toliau gautų saugos naujinimus. Daugiau informacijos apie ESU ir kurie leidimai palaikomi, ieškokite KB4497181.
Svarbu Įdiegę šiuos būtinus naujinimus, turite iš naujo paleisti įrenginį.
Visų naujinimų diegimas
Norėdami išspręsti saugos pažeidžiamumą, įdiekite visus "Windows" naujinimus ir įgalinkite vykdymo režimą atlikdami šiuos veiksmus:
-
Įdiekite bent vieną iš naujinimų nuo gruodžio 8, 2020 ir kovo 9, 2021 visiems "Active Directory" domeno valdikliams miške.
-
Įdiekite balandžio 12, 2021 atnaujinti bent vieną ar daugiau savaičių po 1 veiksmo.
-
Kai visi "Active Directory" domeno valdikliai buvo atnaujinti, Palaukite bent visą savaitę , kad būtų leidžiama atlikti visas neapmokėtas paslaugas vartotojui savarankiškai (S4U2self) "Kerberos" tarnybos bilietai nustos galioti, o tada visiška apsauga gali būti įgalinta diegiant "Active Directory" domeno valdiklio vykdymo režimą.
Pastabų-
Jei iš numatytųjų parametrų (numatytasis parametras yra 7 dienos) modifikavote "Kerberos" tarnybos bilieto galiojimo laiką, tada turite palaukti bent kiek dienų, kiek konfigūruota jūsų aplinkoje.
-
Šie veiksmai daro prielaidą, kad Performticketsignature niekada nebuvo nustatytas į 0 jūsų aplinkoje. Jei Performticketsignature nustatyta į 0, turite pereiti prie parametro 1 prieš pereidami į 2 nustatymą (vykdymo režimas) ir palaukite bent savaitę, kad visi neįvykdyti tarnybos vartotojai galėtų savarankiškai (S4U2self) Kerberos paslaugos bilietai nustos galioti. Jei norite nustatyti 2 (vykdymo režimas), neturėtumėte pereiti tiesiogiai iš 0 parametro.
-
1 veiksmas: "Windows" naujinimų diegimas
Įdiekite atitinkamus gruodžio 8, 2020 "Windows Update" arba naujesnę "Windows" naujinimą į visus įrenginius, kuriuose yra "Active Directory" domeno valdiklio vaidmuo miške, įskaitant tik skaityti skirtus domeno valdiklius.
"Windows Server" produktas |
KB # |
Naujinimo tipas |
"Windows Server", 20H2 versija (serverio branduolio įdiegtis) |
Saugos naujinimas |
|
"Windows Server", 2004 versija (serverio branduolio įdiegtis) |
Saugos naujinimas |
|
"Windows Server", 1909 versija (serverio branduolio įdiegtis) |
Saugos naujinimas |
|
"Windows Server", 1903 versija (serverio branduolio įdiegtis) |
Saugos naujinimas |
|
"Windows Server 2019" (serverio branduolio įdiegtis) |
Saugos naujinimas |
|
"Windows Server" 2019 |
Saugos naujinimas |
|
"Windows Server 2016" (serverio branduolio įdiegtis) |
Saugos naujinimas |
|
„Windows Server 2016“ |
Saugos naujinimas |
|
"Windows Server" 2012 R2 (serverio branduolio įdiegtis) |
Mėnesinis apibendrinimo |
|
Tik sauga |
||
„Windows Server 2012 R2“ |
Mėnesinis apibendrinimo |
|
Tik sauga |
||
"Windows Server 2012" (serverio branduolio įdiegtis) |
Mėnesinis apibendrinimo |
|
Tik sauga |
||
„Windows Server 2012“ |
Mėnesinis apibendrinimo |
|
Tik sauga |
||
"Windows Server 2008 R2" 1 pakeitimų paketas |
Mėnesinis apibendrinimo |
|
Tik sauga |
||
„Windows Server 2008“ 2 pakeitimų paketui |
Mėnesinis apibendrinimo |
|
Tik sauga |
2 veiksmas: įgalinkite vykdymo režimą
Atnaujinus visus įrenginius, kuriuose buvo atnaujinti "Active Directory" domeno valdiklio vaidmuo, Palaukite bent visą savaitę , kad visi neįvykdyti S4U2self "Kerberos" tarnybos bilietai pasibaigtų. Tada įgalinkite visiška apsauga įdiegdami vykdymo režimą. Norėdami tai padaryti, įgalinkite vykdymo režimo registro raktą.
Įspėjimas Jei registrą modifikuosite netinkamai naudodami registro rengyklę arba kitu būdu, gali kilti rimtų problemų. Šioms problemoms gali reikėti iš naujo įdiegti operacinę sistemą. "Microsoft" negarantuoja, kad šias problemas galima išspręsti. Modifikuokite registrą savo pačių rizika.
Pastaba Šis naujinimas pateikia šios registro reikšmės palaikymą, kad įgalintumėte vykdymo režimą. Šio registro reikšmė nesukuriama diegiant šį naujinimą. Šią registro reikšmę reikia įtraukti neautomatiškai.
Registro dalinis raktas |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Reikšmę |
PerformTicketSignature |
Duomenų tipas |
REG_DWORD |
Duomenų |
1: įjungia diegimo režimą. Pataisa įgalinta domeno valdiklyje, tačiau "Active Directory" domeno valdiklyje nereikalaujama, kad "Kerberos" paslaugos bilietai atitiktų pataisymą. Šis režimas įtraukia bilietų parašų palaikymą "CVE-2020-17049" atnaujintose domeno valdikliuose, tačiau domeno valdikliuose nereikalaujama, kad būtų pasirašyti bilietai. Taip galima naudoti pradinį diegimo etapą (DCs atnaujinama iki gruodžio pradinio diegimo naujinimo) ir atnaujinti domeno valdikliai. Visi domeno valdikliai atnaujinti ir nustatyti 1, visi nauji bilietai bus pasirašyti. Šiuo režimu nauji bilietai bus pažymėti kaip atsinaujinantys. 2: įgalina vykdymo režimą tai leidžia taisyti reikiamą režimą, kai visi domenai turi būti atnaujinti ir visi "Active Directory" domeno valdikliai reikalauja "Kerberos" tarnybos bilietų su parašais. Šiuo parametru Visi bilietai turi būti pasirašyti, kad būtų laikomi galiojančiais. Šiuo režimu bilietai vėl bus pažymėti kaip atsinaujinantys. 0: nerekomenduojama. Išjungia "Kerberos" aptarnavimo bilietų parašus ir jūsų domenai neapsaugoti. Svarbu 0 parametras nesuderinamas su vykdymo parametru 2. Jei vykdymo režimas taikomas vėliau, kai domenas nustatytas į 0, gali įvykti nepastovus autentifikavimas. Rekomenduojame klientams pereiti į 1 nustatymą prieš vykdymo etapą (bent prieš savaitę prieš taikant vykdymą). |
Numatytąjį |
1 (kai nėra nustatytas registro raktas) |
Ar reikia paleisti iš naujo? |
Ne |